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(54) Frankiereinrichtung und ein Verfahren zur Erzeugung gultiger Daten fur Frankierabdrucke 



(57) Eine Frankiereinrichtung (10) fur ein kleines 
Postaufkommen besteht aus einem Computer (11) und 
mit einem angeschtossenen Drucker (17), wobei der 
Computer einen Spetcher (13) mit einer lokalen Daten- 
bank fur PostempfangeradrefBdateien uber ein Kommu- 
nikationsmittel (15) mit einer Datenzentrale (20) verbuh- 
den ist, welche eine zentrale Datenbank (23) aufweist. 
Der Computer (11 ) ist entsprechend programmiert, daB 
Anforderungsdaten gebildet und zur Datenzentrale 
ubermittelt und angeforderte zuruckubermittelte Daten 
empfangen und gespeichert werden. Das Verfahren zur 
Erzeugung gultiger Daten fur Frankierabdrucke umfaGt 
dabei fotgende Schritte: 

Bildung und Ubermittlung von Anforderungsdaten 



fur eine Signatur, 

Verifikation von ubermittelten Daten in einer Daten- 
zentrale (20), 

Erzeugung einer Signatur auf der Basis verifizierter 
Daten unter Verwendung eines asymmetrischen 
Kryptoalgorithmus und geheimen privaten Schlus- 
sels, sowie 

Ruckubermittlung der verifizierten Daten und der 
Signatur zur Frankiereinrichtung (10), wobei die Au- 
thentizitat der zuruckubermittelten Daten anhand 
der Signatur unter Verwendung eines offentlichen 
Schlussels uberprufbar ist, sowie 
Speicherung authentischer empfangener Daten in 
der lokalen Datenbank (13). 
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Beschreibung 

[0001] Die Erfindung betrifft eine Frankiereinrichtung 
und ein Verfahren zur Erzeugung gujtiger Daten fur 
Frankierabdrucke gemafB des Oberbegriffs des An- 
spruchs 1 beziehungsweise des Anspruchs 4. Die Fran- 
kiereinrichtung ist insbesondere im Heimbereich und fur 
Anwender geeignet, die nur wenig Poststucke versen- 
den. 

[0002] In der DE 40 18 166 C2 wurde bereits fur sol- 
che Anwender mit geringem Postgutaufkommen ein 
Frankiermodul fur einen Personalcomputer vorgeschla- 
gen, in dessen Slot eines Laufwerkeinschubes das 
Frankiermodul angeordnet ist, welches sowohl das 
Frankieren als auch das Adressieren von Briefumschla- 
gen gestattet. Ein solches Frankiermodul ist von einem 
gesicherten Gehause umgeben und hat schaltungs- 
technisch den gleichen Aufbau, wie eine Frankierma- 
schine, bei welcherdie Brieftransportvorrichtung einge- 
sparl wird. Es versleht sich von selbst, daB ein derartig 
abgerustetes Frankiermodul billiger angeboten werden 
kann, als eine Frankiermaschine. 

[0003] Durch den Einsatz des Frankiermoduls kann 
die Abrechnung der Frankierung und das Drucken des 
Frankierstempel-bildes nicht von extern manipuliert 
werden. Die Adreftdaten werden von einem vom Perso- 
nalcomputer verwalteten Speicher gelesen und Ober 
das interne Informationsnetz dem Frankiermodul zuge- 
fuhrt. Dabei ist allerdings nicht ausgeschlossen, daB 
fehlerhafte AdreBdaten letztendlich dazu fuhren, daB 
der Postbeforderer das Poststuck nur schwer oder gar 
nicht dem Postempfanger zustellen kann. Bei einem di- 
gitalen Druckvertahren ist es schwer festzustellen, ob 
das gedruckte Frankierstempelbild nicht bloB eine un- 
abgerechnete Kopie eines fruheren Abdruckes ist und 
mit einer gewunschten anderen Adresse kombiniert 
wurde. Deshalb werden spezielle rote fluoreszierenden 
Tinten vorgeschrieben, welche schwer zu kopieren sind. 
Durch die inszwischen erreichten Fortschritte bei Farb- 
kopierern und Farbdruckern kann eine derartige 
MaBnahme nicht mehr als ernst zunehmendes Hinder- 
nis gelten, gefalsche unabgerechnete Abdrucke herzu- 
stellen. 

[0004] Gewohnlich ist am Personalcomputer auch ein 
Drucker angeschlossen, mit dem heutzutage nicht nur 
Briete ausgedruckt, sondern auch Adressen auf Kuver- 
te gedruckt werden konnen. Grundsatzlich kann damit 
auch das Kuvert frankiert werden. Es ist jedoch schwie- 
rig bei solchen offenen Systemen eine Manipulation zu 
verhindern. Ober die ungesicherten Verbindungsleitun- 
gen, konnte namlich ein Manipulator in Falschungsab- 
sicht versuchen, Daten in das System einzuspeisen, in- 
dem er vortauscht, sie kamen von der dazu authorisier- 
ten Stelle. 

[0005] Die US-Postbehorde hat einen im Jahre 1996 
veroffentlichten Katalog mit Anforderungen an die Kon- 
struktion von zukunftigen sicheren Frankiersystemen 
aufgestellt (Information based Indicia Program IBIP). 



Darin wird angeregt, bestimmte Daten kryptografisch zu 
verschlussen und in Form einer digitalen Unterschrift 
auf den zu frankierenden Brief zu drucken, anhand de- 
re r die Post bejiorde die. Echthe it von F ran ki e rabdruc ken 

s uberprufen kann. Bei der US-Postbehorde entsteht 
nach geschatzten Angaben durch Betrug ein jahrlicher 
Schaden vonca. 200 Millionen US-$. Diese Anforderun- 
gen sind nach Art der Frankiereinrichtung differenziert 
worden. Traditionelle Frankiermaschinen, welche in der 

10 Regel nur einen Frankierstempel in Rot aufdrucken wer- 
den auch als "closed systems" bezeichnet und brau- 
chen anders als bei sogenannten "open systems" (PC- 
Frankierer) die entsprechende Briefadresse nicht in die 
Verschlusselung mit einbeziehen. Fur open systems ist 

is jedoch weiterhin ein Sicherheitsmodul mit fortschrittli- 
cher Kryptotechnologie und gesichertem Gehause vor- 
geschrieben, in welches Daten der Datenzentrale ein- 
gespeichert werden konnen. 

[0006] Aus der US 5.625.839 ist das Senden einer 

20 Update-Information als Datenpaket an eine Frankierma- 
schine bekannt. Mit einer CRC-Prufsumme kann zwar 
die Fehlerfreiheit der Datenubermittlung gepruft wer- 
den, was jedoch noch nichts Ober die Richtigkeit des 
ubermittelten Dateninhaltes selbst aussagt. Ein Pro- 

25 blem konnte wegen der ungesicherten Verbindungslei- 
tung entstehen, wenn namlich ein Manipulator in Fal- 
schungsabsicht versucht, Daten in die Frankiermaschi- 
ne einzuspeichern, indem er vortauscht, sie kamen von 
der Datenzentrale. 

30 [0007] In der DE 38 40 041 A1 wurde deshalb bereits 
eine Anordnung vorgeschlagen, in welcher eine Fran- 
kiereinrichtung Ober eine standig in Betrieb befindliche 
TEMEX-Standleitung mit einem Zentralrechner verbun- 
den ist. Der Postkunde gibt in die Frankiereinrichtung 

35 den gewunschten Frankierwert ein. Letzterer wird zum 
Zentralrechner ubertragen, welcher mit einem Giro- 
Rechner verbunden ist, bei welchem der Kunde ein 
Postgiro-Konto hat. Nach einer Deckungsprufung 
nimmt der Giro-Rechner die Abrechnung vor und der 

40 Zentralrechner gibt die Frankierfunktion frei. Auch die 
Frankiereinrichtung selbst besitzt zusatziich postalische 
Speicher, welche aufgrund des Datenverbundes abge- 
fragt werden konnen und eine zusatzliche Sicherheit vor 
Datenverlust im Falle eines Rechnerausfalls bieten. Der 

^5 Zentralrechner tost einen Alarm aus, wenn diese Stand- 
teitung unerlaubt angezapft Oder unterbrochen wird. Es 
ist allerdings aufwendig und somit nicht Liberal! moglich, 
eine solche spezielle gesicherte Leitung einzusetzen. 
[0008] Aus dem EP 373 971 B1 ist ein Kommunikati- 

50 onssystem bekannt, mit einem Ubermitteln von Adres- 
sendaten von einer lokalen zu einer zentralen Daten- 
bank in einer Datenzentrale, ein Aktualisieren der ge- 
speicherten Adressendaten in der einer zentralen Da- 
tenbank der Datenzentrale anhand der ubermittelten 

S5 Adressendaten und ein Modifizieren der Adressendaten 
der im System vorhandenen lokalen Datenbanken an- 
hand der aktualisierten Daten der Datenzentrale. Damit 
wird zwar ein Gleichhalten der Daten in jeder lokalen 
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Datenbank enlsprechend einer zentralen Datenbank er- 
reicht. Bei einer ungesicherten Verbindungsleitung 
kann aber nicht verhindert werden, daft eine unrichtige 
Adresse in der zentralen Datenbank der Datenzentrale 
gespeichert und von dort auf die jeweilige lokale Daten- 5 
bank der weiteren Benutzer ubertragen wird. 
[0009] In der EP 782 296 A2 wurde zum Abrufen ei- 
nes Zertifikates von einem Adressenbuchspeicher uber 
eine ungesicherte Kommunikationsverbindung zwarein 
Public Key-Verfahren vorgeschlagen, jedoch kann da- 10 
mit nur gesichert werden, daB die ubermittelte Nachrich 
authentisch ist. Somit konnte ebensogut auch eine ge- 
falschte Nachricht ubermittelt werden, deren Zertifikat 
aber echt ist. 

[0010] In trankierenden Systemen kommt es neben is 
der Richtigkeit und Echtheit einer Nachricht zugleich auf 
die richtige Abrechnung an. Es ist deshab schon eine 
Portobox in einem Terminal (US 5,233,657) bzw. ein ge- 
sichertes Modul (US 5, 625.694) vorgeschlagen worden, 
in welchem die Abrechnungsdaten gespeichert werden. 20 
Das Terminal gemaB der in der US 5,233,657 vorge- 
schlagenen Losung, wird als Fax- und Frankiergerat ge- 
nutzt, wobei wesentliche Frankierbilddaten von einer 
Datenzentrale angefordert werden und dann mit ande- 
ren Bilddaten, welche im Terminal gespeichert sind, als 25 
Frankierabdruck vervollstandigt ausgedruckt werden. 
Die Kommunikation zwischen Terminal und Datenzen- 
trale wird durch ein kryptographisches Verfahren gesi- 
chert, z.B. nach dem bekannten RSA-Verfahren. Aus 
den das Terminal kennzeichnenden Daten wird von der 30 
Zentralverarbeitungseinheit des Terminals ein Siche- 
rungscode erzeugt und gemeinsam mit dem Frankier- 
wert abgedruckt. Nachteilig ist die langwierige Rechen- 
arbeit, welche die Zentralverarbeitungseinheit durch- 
f uhren muB, einerseits wenn Bilddaten nach dem RSA- 35 
Verfahren entschlusselt werden und andererseits wenn 
der Sicherungscode erzeugt wird. 
[0011] In der US 5,625.694 wird ein Computer mit ei- 
nem gesicherten Modul ausgerustet. Bei einer Anforde- 
rung einer digitalen Unterschrift an ein solches gesi- *o 
chertes Modul, wobei die Anforderung in Abhangigkeit 
einer Anderung bezuglich des eingegebenen Frankier- 
wertes und einer Empfangeradresse erfolgt, generiert 
das gesicherte Modul dann einerseits eine entspre- 
chende digitale Unterschrift und ubermittelt diese an <*s 
den Mikroprozessor des Computers : aber fOhrt anderer- 
seits auch die Abrechnung durch. Der Mikroprozessor 
des Computers generiert dann ein Druckbild entspre- 
chend des Frankierwertes und der Empfangeradresse 
sowie der ubermittetten Signatur. Eine Signatur wird nur so 
dann nicht vom gesicherten Modul angefordert, wenn 
wederder Frankierwert noch die Adresse geandert wird. 
Eine Kopie desselben Abdruckes wird somit nicht im ge- 
sichertem Modul mitabgerechnet. Dem Postbeforderer 
obliegt die AuthentizitatsprOfung fur jedes einzelne ss 
Poststuck. Auch geringste Unterschiede in der Adresse 
wirken sich auf die Signatur aus. Es ist jedoch nicht si- 
cher, daB vom Benutzer die Eingabe einer gultigen 
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Empfangeradresse erfolgt. Ein mit einer ungultigen 
Empfangeradresse versehenes Poststuck kann u.U. 
nicht zugestellt werden, obwohl es mit einem gultigem 
Porto frankiert worden ist und das Porto ordnungsge- 
maB im gesicherten Modul abgerechnet wurde, weil die 
Adresse nachtraglich nicht korrigierbar ist. Aufwendig 
ist bei alien vorgenannten Losungen die Notwendigkeit 
der Anordnung eines gesicherten Moduls im Endgerat. 
[0012] Aufgabe ist es, eine Low-end-Frankieretnrich- 
tung mit einer lokalen Datenbank zu schaffen, wobei in 
der lokalen Datenbank der Frankiereinrichtung gultige 
Adressen gespeichert sind. Weiterhin soil ein Verfahren 
zur Erzeugung gultiger Daten fur Frankierabdrucke an- 
gegeben werden, so daB im Ergebnis gultige Frankier- 
werte mit gultigen Adressen zusammen mit einer Signa- 
tur auf das Poststuck gedruckt werden konnen. 
[0013] Die Aulgabe wird mit den Merkmalen der An- 
spruche 1 und 4 gelost. 

[0014] Die Notwendigkeit der Anordnung eines gesi- 
cherten Moduls im Endgerat entfallt. Damit entfallt auch 
die Notwendigkeit ein Guthaben in das Endgerat nach- 
zuladen und die Kommunikation entsprechend sicher 
vor Manipulation des Guthabens zu gestalten. Erfin- 
dungsgemaB wird eine digitale Signatur in einer Daten- 
zentrale eines Herstellers von Frankiersystemen bzw. 
eines Postbefdrderers erzeugt. Die Kommunikation mit 
der Datenzentrale ist relativ kurz, da die ubermittelten 
Klardaten weder Bilddaten umfassen noch alle Daten 
verschlusselt werden, sondern neben den Klardaten nur 
eine relativ kurze Signatur zuruckubermittelt wird. Vor- 
teilhaft ist weiterhin die Dienstleistung der Datenzentra- 
le bezuglich einer Korrektur einer fehlerhaft eingege- 
ben-den Postempfangeradresse. Somit konnen Fehl- 
frankierungen vermieden werden. In einer Variante 
kann als zusatzltche Dienstleistung von der Datenzen- 
trale eine Portoberechnung nach gultigem Tarif vorge- 
nommen werden. Gunstig ist auch fur die Manipulati- 
onssicherheit, daB geheime Schlussel und andere si- 
cherheitsrelevante Daten nur in der Datenzentrale ge- 
speichert sind und nach extern nicht ausgelesen wer- 
den konnen. Der Abdruck der ubermittelten Daten auf 
daB Poststuck kann auch zu einem beliebig spateren 
Zeitpunkt erfolgen. Fur die externe Bilderzeugung aus 
den ubermittelten Daten existieren keine Einschrankun- 
gen. So konnen unterschiedliche Druckverfahren zum 
Einsatz kommen. Den unterschtedlichen Einsatzbedin- 
gungen und Anforderungen der einzelnen Postbeforde- 
rer kann so am besten entsprochen werden. 
[0015] Vorteilhafte Weiterbildungen der Erfindung 
sind in den Unteranspruchen gekennzeichnet bzw. wer- 
den nachstehend zusammen mit der Beschreibung der 
bevorzugten AusfOhrung der Erfindung anhand der Fi- 
guren naher dargestellt. Es zeigen: 

Fig. 1, Blockschaltbild fur die Frankiereinrichtung 
und die Datenzentrale, 

Fig. 2, Beispiel fur einen Abdruck auf einem Post- 
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stuck. 

[0016] Im Blockschaltbild gemaB Fig.1 ist eine Daten- 
zentraie 20 mit Franjdereinrjchtungen 10 und 30 und mit 
einer Pruf ungsstelle 50, beispielsweise im Postamt, des 
Postbeforderers uber ein Kommunikationsnetz 40 kom- 
munikativ verbunden. 

Die Frankiereinrichtung 10 ist als ein von einem ersten 
Computer 11 gesteuerter digitaler Drucker 17 ausgebil- 
det, welcher mindestens Briefumschlage eines Forma- 
tes bedrucken kann. Beispielsweise ist ein Personal- 
computer PC 1 einerseits uber ein ungesichertes Kabel 
16 mit dem Drucker 17 verbunden und kann anderer- 
seits via Modem 15 und Kommunikationnetz 40 mit der 
Datenzentrale 20 on-line eine Kommunikationsverbin- 
dung aufnehmen. Mit dem ersten Computer 11 sind ein 
Festplattenspeicher 13 fur eine lokale Datenbank, eine 
Tastatur 14 und eine Anzeigeeinheit 12 verbunden. 
Durch die letztgenannten Ein/Ausgabemittel 12 und 14 
konnen entsprechende Eingaben getatigt und sichtbar 
gemacht bzw. die weitere Programmabarbeitung uber- 
wacht werden. Wahrend der on-line Verbindung erfolgt 
eine Abstimmung des Datenbestandes der lokalen Da- 
tenbank und eine Speicherung der ubermittelten Daten. 
Die Erzeugung von Abdrucken auf der Basis der uber- 
mittelten gespeicherten Daten kann zu einem spateren 
Zeitpunkt erfolgen. 

[0017] Die Datenzentrale 20 besteht aus einem zwei- 
ten Computer 21 : vorzugsweise ein Personalcomputer 
PC 2, mit angeschlossenen Ein/Ausgabemitteln 22 und 

24, einer Festplatte 23 und mindestens einem Modem 

25. Die Festplatte 23 speichert spezielle Dienstlei- 
stungsprogramme und Buchungs- bzw. Abrechnungs- 
daten fur Dienstteistungen, welche fur einen Kunden er- 
bracht werden. 

[001 8] Auf die Festplatte 1 3 des ersten Personalcom- 
puters PC 1 ist ein entsprechendes Anwendungspro- 
gramm geladen, welches auf die Bedurfnisse der Be- 
nutzer fur soho (smal office & home office) Markte zu- 
geschnitten ist. In einem solchen Markt kommt es nicht 
auf die Stuckzahl frankierter Briefe pro Zeiteinheit an, 
sondern nur auf geringen Aufwand bei moderaten Ko- 
sten. Eine bloBe Nachricht konnte zwar per email ver- 
schickt werden. Doch in der Praxis sollen auch unikate 
Orginale an Bildern, Fotos, Buchern, Stoffe usw. in ei- 
nem Umschiag kuvertiert verschickt werden. Die Erfin- 
dung gent deshalb davon aus, daB das Grundsystem 
bestehend aus einem Computer und Drucker bereits 
beim Benutzer vorhanden ist. Nur dann kann im Endge- 
rat auf zusatzliche und teure Hardware-Komponenten, 
beispielsweise auf ein Sicherheitsmodul, verzichtet 
werden, wenn das Fran kiersy stem entsprechend erfin- 
dungsgemaB ausgebildet ist. Der Computer muB zur 
Verarbeitung moderner Kryptotechnologien hardware- 
maBig mit einem schnellen modernen Prozessor und 
genugend Speicherplatz ausgerustet sein. 
Die Erfindung setzt weiterhin vorraus, daB Kommunika- 
tionsverbindungen uber das Netz 40, beispielsweise 
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solche via Internet, WWW (Word Wide Web) oder ISDN, 
zukunftig kostengunstig hergestellt werden konnen. 
[0019] Die Erfindung besteht darin, daB die Daten- 
zentrale anhand einer auf der Festplatte 2 3-geschaffe- 

$ nen zentralen Datenbank die Gultigkeit einer Postemp- 
fangeradresse uberpruft und gegebenenfalls herstellt, 
daB aber die Frankiereinrichtung vor einer Speicherung 
in der lokalen Datenbank die Authentizitat einer uber- 
mittelten Postempfangeradresse uberpruft. Dabei wird 

io ein offentlicher Schiussel verwendet, welcher vorzugs- 
weise zusammen mit der gultigen Postempfanger- 
adresse und mit der Signatur von der richtigen Daten- 
zentrale ubermittelt wird. Keine andere ais nur die rich- 
tige Datenzentrale kann die authentische Signatur er- 

is zeugen. 

[0020] Die Uberprufung der Gultigkeit einer Adresse 
setzt eine Pf lege der AdreBdateien der zentralen Daten- 
bank durch einen Postbeforderer bzw. durch einen dazu 
vom Postbeforderer beauftragten Dienst vorraus. Zur 
20 Deckung der dadurch entstehenden Kosten wird die 
Nutzung der AdreBdateien durch externe Benutzer als 
kostenpflichtige Dienstleistung dem Benutzer in An- 
rechnung gebracht. 

[0021] Zur Durchfuhrung der Uberprufung wird min- 

25 destens die zu druckende Postempfangeradresse (An- 
schrift) zunachst an vorgenannte Datenzentrale uber- 
mittelt. Eine falsche Scheibweise der Anschrift kann au- 
tomatisch anhand der Postleitzahl oder eines ahnlichen 
Bestimmungscode korrigiert werden, wenn zu letzterem 

30 eine entsprechende Datei in der zentralen Datenbank 
existiert. Das gilt auch umgekehrt. ist jedoch eine auto- 
matische Korrektur nicht moglich, wird der Benutzer 
daruber informiert und aufgefordert die Adresse korrekt 
einzugeben. Nach der Uberprufung wird ein dem gulti- 

35 gen Tarif entsprechender Postwert und die gultige, 
eventuell zuvor korrigterte, Anschrift mit Postleitzahl an 
die Frankiereinrichtung zuruckubermittelt wobei die zu- 
ruckubermittelten Daten mittels einer Signatur miteinan- 
der verknupft sind. Als Zwischenschritt wird eine Nach- 

40 richt aus den zu ubermittelnden Daten erzeugt, indem 
eine spezielle mathematische Funktion zur Anwendung 
kommt, welche die zu verschlusselnde Datenmenge re- 
duziert. Die Signatur wird durch Verschtusselung der 
Nachricht mit einem geheimen privaten Schiussel nach 

45 einem bekannten nichtsymmetrischen Verschlusse- 
lungsalgorithmus erzeugt. 

[0022] Ein geeigneter bekannter asymmetrischer 
Verschlusselungsalgorithmus isl beispielsweise der Di- 
gital Signatur Algorithmus(DSA), ein Elliptic Curve Digi- 

so tal Signatur Algorithmus (ECDSA) oder der ELGamal 
Algorithmus (ELGA). Diesen Signatur Algorithmen ist 
ein Schlusselpaar gemeinsam, welches einen privaten 
und offentlichen Schiussel umfaBt. Der private Schius- 
sel ist ein geheimer nicht nach extern auslesbarer 

55 Schreibschlussel. Und der offentliche Schiussel f ungiert 
als Leseschlussei fur die Signatur und ist jederman zu- 
ganglich. 

[0023] In der nicht vorveroffentlichten deutschen An- 
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meldung mit dem Titel: M Verfahren fur eine digital druk- 
kende Frankiermaschine zur Erzeugung und Uberpru- 
fung eines Sicherheitsabdruckes", wurden derartige 
asymmetrische VerschlOsselungsalgorithmen auf "clo- 
sed systems 0 angewendet naher erlautert. Auf der Fran- 
kiermaschinenseite wird jedoch im Unterschied zur er- 
findungsgemaBen Losung ein Postage Security Device 
zur VerschlOssellung eingesetzt, das erfindungsgemafc 
nun entfallen kann. 

[0024] Statt dessen hat die Festplatte 23 des zweiten 
Computers 21 der Datenzentrale 20 speziell gesicherte 
Speicherbereiche zur Speicherung des privaten Sch lus- 
sel, so daB letzterer nicht von extern ausgelesen wer- 
den kann. Alternativ kann ein separater Speicher, bei- 
spielsweise ein Halbleiterspeicher, zur sicheren Spei- 
cherung des privaten SchlOssels verwendet werden, 
wobei der Speicher im Computer integriert und gegen 
unberechtigtes Auslesen gesichert ist. 
[0025] Es ist vorgesehen, daf3 der erste Computer 1 1 
mittels eines Anwenderprogramms im Speicher pro- 
grammiert ist, um 

auf eine gespeicherte bestimmte Postempfanger- 
adresse zuzugreifen oder eine neu eingegebene 
bestimmte Postempfangeradresse zwischenzu- 
speichern, 

Anforderungsdaten des Postabsenders per Kom- 
munikationsmittel zur Datenzentrale zu ubermit- 
teln, wobei die Anforderungsdaten die Identifikati- 
onsdaten des Postabsenders und Postversen- 
dungsdaten, einschlieBlich die bestimmte Post- 
empfangeradresse, umfassen, um die Richtigkeit 
der Postempfangeradresse mittels eines zweiten 
Computers zu bestatigen oder anhand einer in der 
zentralen Datenbank gespeicherten AdreBdatei 
herzustellen, 

Daten zu empfangen, betreffend eine gOltige Post- 
empfangeradresse von einer in der zentraten Da- 
tenbank gespeicherten Adre3datei, einen gultigen 
Portowert und eine Signatur, wobei der zweite 
Computer der Datenzentrale die angeforderten Da- 
ten nur mit einer Signatur ausstattet, wenn eine gul- 
tige Postempfangeradresse in der zentralen Daten- 
bank gespeichert ist, wobei eine Mitteilung erzeugt 
wird, wenn eine automatische Korrektur einer Post- 
empfangeradresse unmdglich ist, 
die von der zentralen Datenbank empfangenen Da- 
ten einschlieBlich der Signatur zu verarbeiten, um 
einen authentischen Frankierabdruckauf das Post- 
stuck abzudrucken. 

Es ist weiterhin vorgesehen, die Authentizitat der zur 
Franktereinrichtung Obermittelten empfangenen Daten 
anhand der Signatur zu Oberprufen undbei Authentizitat 
die AdreBdatei in der lokalen Datenbank bezOglich der 
bestimmte Postempfangeradresse zu aktualisieren. 
[0026] Das erfindungsgemaBe Verfahren zur Erzeu- 
gung eines gultigen Datenbestandes fur Frankierab- 



drucke umfaGt folgende Schritte: 

Bildung und Ubermittlung von Anforderungsdaten, 
mit welchen ein erster Computer der Frankierein- 

s richtung von einem zweiten Computer einer Daten- 

zentrale eine Signatur anfordert, wobei die Anfor- 
derungsdaten mindestens eine Informationsgruppe 
mit Postempfangeradressendaten und Identifikati- 
onsdaten einschlieBen, 

io - Erzeugung einer Signatur auf der Basis verifizierter 
Daten unter Verwendung eines asymmetrischen 
Kryptoalgorithmus und geheimen privaten Schlus- 
sels, sowie 

Ruckubermittlung der verifizierten Daten und der 
is Signatur zur Frankiereinrichtung, wobei die Authen- 
tizitat derzuruckubermittelten Daten anhand der Si- 
gnatur unter Verwendung eines offentlichen 
Schlussels uberprufbar ist, sowie 
Speicherung authentischer empfangener Daten in 
20 einer lokalen Datenbank. 

[0027] Es ist vorgesehen , daB vom zweiten Computer 
in der Datenzentrale die Gultigkeit von Daten uberpruft 
und erforderlichenfalls hergestellt wird, daB die Signatur 

25 vom zweiten Computer in der Datenzentrale aus den 
angeforderten Daten generiert wird. Somit ist sicherge- 
stellt, daB die vom Endgerat empfangenen teilweise zu- 
ruckzuubermittelnden gultigen Daten vom zweiten 
Computer in der Datenzentrale mittels der Signatur mit- 

30 einander verknupft worden sind. Der erste Computer 
empfangt entsprechend der Anforderung uber Modem 
somit gultige Daten. Es ist weiterhin vorgesehen, daB 
vom ersten Computer anhand von Daten der zur Daten- 
zentrale Obermittelten Informationsgruppe und Daten 

35 einer empfangenen Informationsgruppe ein Vergleich 
vorgenommen wird, wobei mittels der Signatur eine Au- 
thentizitatspruf ung hinsichtlich der empfangenen Infor- 
mationsgruppe durchgefuhrt wird, wobei bei der Au- 
thentizitatspruf ung ein offentlicher Schlussel verwendet 

40 wird, welcher in der zentralen oder einer lokalen Daten- 
bank abrufbar gespeichert ist. 

Im Falle einer festgestellten Abweichung zwischen den 
Obermittelten und empfangenen Daten im Ergebnis des 
Vergleiches wird der Datenbestand in der lokalen Da- 

45 tenbank nur dann aktualisiert, wenn die empfangenen 
Daten als authentisch gelten. Vom ersten Computer 
wird dann zu einem beliebig spateren Zeitpunkt aus den 
empfangenen Daten ein Druckbild generiert und ein 
Ausdrucken entsprechend veranlaBt. 

so [0028] Dem Gleichhalten der Postempfanger- 
adreBdaten in der lokalen Datenbank geht also eine Au- 
thentizitatsprufung anhand der Signatur im Personal- 
computer PC 1 voraus. Bei der Authentizitatsprufung 
wird ein offentlicher Schlussel verwendet, welcher von 

55 der zentralen oder einer lokalen Datenbank abrufbar ist. 
Der offentliche SchlOsset kann in einem ungesicherten 
Speicherbereich zusammen mit einem zugehorigem 
Datum fur das GOItigwerden gespeichert werden. 
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[0029] M it dem offentlichen Schlussel kann jederman 
aus der Signatur durch Entschlusseln die Nachricht zu- 
ruckgewinnen. Zwecks Vergleich wird eine Refe- 
rencenachricht aus den ^bermittejten_ Klardaten^ er- 
zeugt, indem die dieselbe vorgenannte spezietle mathe- 
matische Funktion zur Anwendung kommt, welche die 
Datenmenge reduziert. Bei Gleichheit der entschlussel- 
ten Nachricht mil der gebildeten Referencenachricht ist 
die Authentizitat der Daten gegeben, deren Gultigkeit 
durch die Datenzentrale zumindest fur die Postempfan- 
geradresse gesichert wird. 

[0030] Auf ebensolche Weise kann anhand der Si- 
gnatur in einem Postamt 50 Oder in einer Posteinliefe- 
rungsstelle bzw. einem Institut eines privaten Postbe- 
forderers mit der Authentizitatsprufung zugleich uber- 
pruft werden, ob eine Abrechnung in der Datenzentrale 
erfofgt ist. Zu diesem Zweck geht in die Signatur eine 
monoton stetig veranderbare GroGe ein, welche zu- 
gleich in Klarschrift auf dem Poststuck often aber min- 
destens maschinenlesbar abgedruckt wird. Eine solche 
GroOe sind beispielsweise die Zeitdaten zum Zeitpunkt 
des Abruf ens der Signatur von der zentralen Datenbank 
Oder die Stuckzahl. Zugleich werden anhand der auf ge- 
druckten Zeitdaten bzw. Stuckzahl Oder einer anderen 
GroGe in der Datenzentrale die Buchhaltungsdaten wie- 
derauffindbar und somit die Bezahlung der Dienstlei- 
stung im Detail Oberprufbar. 

[0031] Das Postamt 50 bzw. beauftragte Institut kann 
dazu die Datenzentrale via Kommunikationverbindung 
anrufen, um in deren Datenbank gespeicherte Daten 
abzufragen. 

[0032] Ein Beispiel fur einen Abdruck auf einem Post- 
stuck wird anhand der Fig. 2 erlautert. Bei einem Brief 
ist das AdreGfeld zentral angeordnet. Die Postempfan- 
geradersse wird in Klarschrift und ein zugehoriger ZIP- 
Code wird als Barcode aufgedruckt. Der Frankierab- 
druck ist in der Peripherie rechts oben angeordnet. Eine 
Absenderangabe in der Peripherie links oben angeord- 
net ist optional. Fur die USPS wird ein ca. 1 Zoll breiter 
F ran kierabd ruck mit einem maschinenlesbaren Bereich 
erzeugt. Bestimmte Klardaten und die Signatur werden 
z.B. in eine PDF 41 7-Symbolik umgesetzt und gedruckt. 
Letztere ist von der Firma Symbol Technologies, inc. in 
EP 439 682 B1 naher beschrieben worden. Uber dem 
maschinenlesbaren Bereich ist dervisuell (human) les- 
bare Bereich und ein Bereich fur den FIM-Code gemaB 
der US-Postvorschriften angeordnet. Links davon liegt 
ein weiterer Druckbereich, welcher vorzugsweise zum 
Drucken eines Werbeklischees verwendet werden 
kann. Wegen des FIM-Codes ergibt sich fur einen ca. 1 
Zoll breiten Frankierabdruck ein ca 11 bis 1 4 mm breiter 
visuell (human) lesbarer Bereich. Somit kann die restli- 
che Breite fur den maschinenlesbaren Bereich verwen- 
det werden. 

[0033] Die zur Datenzentrale ubermittelten Anforde- 
rungsdaten konnen in einer bevorzugten ersten Ausf uh- 
rungsvariante zusatzlich den Postwert, weitere Postver- 
sendungsdaten und eine monoton stetig veranderbare 



10 

GroBe einschliefJen. Der Postwert und weitere Postver- 
sendungsdaten (EXPRESS, AIR MAIL,.., ) werden uber 
die Tastatur 14 des Personalcomputers PC 1 vom Be- 
nutzer fur jeden, Brief einaegeben. 

5 [0034] Die Speicherung der Abrechnung bzw. Buch- 
haltungsdaten entsprechend weiterer Dienstleistungen 
erfolgt in der zentralen Datenbank. Da die Abrechnung 
der Postbeforderung in der Datenzentrale kundenspe- 
zifisch vorgenommen wird, kann eine Manipulation der 

10 Abrechnungsdaten in Falschungsabsicht ausgeschlos- 
sen werden. Eine lokale Portobox bzw. ein Meter ist 
beim Benutzer der Frankiereinrichtung unnotig. Die 
Festplatte 23 enthalt zur Buchung vorgesehene Spei- 
cherbereiche ; entsprechend der vereinbarten Abrech- 

15 nungsart und Dienstleistungsart. Zur Erhohung der Si- 
cherheit vor Datenverlust existiert mindestens eine wei- 
tere - nicht gezeigte - Festplatte 23' in der Datenzentra- 
le, in welcher eine redundante Speicherung alter Daten 
erfolgt. 

20 [0035] Eine Abrechnungsart fur vorgenannten 
Dienstleistung der Postbeforderung ist eine kumulative 
Abrechnung am Monatsende, wobei der kumulative Be- 
trag von einem Kundenkonto bei einer Bank oder einem 
vergleichbaren Kreditinstitut gemafi dem Lastschriftver- 

25 fahren abgebucht wird. Es kann ebenso eine andere Ab- 
rechnungsart, beispielsweise Sofortbezahlung oder 
Vorausbezahlung, veretnbart werden. Mit dem Kunden 
kann eine entsprechende Vereinbarung zu unterschied- 
lichen Abrechnungsarten fur unterschiedliche Dienstlei- 

30 stungen getroffen werden. 

[0036] Es ist in einer zweiten Ausfuhrungsvariante 
vorgesehen, da3 Versendungsdaten ubermittelt und 
auBerdem die Dienstleistung einer Portoberechnung in 
der Datenzentrale durchgefuhrt wird, wobei die kumu- 

35 Nerten Dienstleitungskosten periodisch, beispielsweise 
am Tagesende, dem Kunden in Rechnung gestellt wer- 
den. Dazu ist es vorteilhaft, daf3 die Anforderungsdaten, 
welche zusammen mit der Adref3daten und weiteren 
Versendungsdaten zur Datenzentrale ubermittelt wer- 

^0 den, auch Identifikationsdaten ID umfassen. Unter Iden- 
tifikationsdaten ID sollen eine Identiftkationsnummer 
des Kunden bzw. des Postabsenders oder die Maschi- 
nenseriennummer, oder die Absendeadresse verstan- 
den werden. Um Betrugereien auszuschlieBen, wo ein 

45 anderer Absender vorgetauscht wird : ist es weiterhin 
vorgesehen, dafJ solche Identifikationsdaten in die Si- 
gnatur ebenfalls mit eingehen. Die Datenzentrale er- 
zeugt eine Signatur aus den ubermittelten Anforde- 
rungsdaten, wie Postempfangeradresse und Identifika- 

50 tionsdaten, sowie einer erzeugten monoton stetig ver- 
anderbare GroBe und dem Portowert mit Hilfe eines pri- 
vaten Schlussels und eines asymmetrischen Verschlus- 
selungsalgorithmus. 

[0037] Wenn aber andererseits wie bei der ersten 
55 Ausfuhrungsvariante die Dienstleistung einer Portobe- 
rechnung nicht in der Datenzentrale sondern in der 
Frankiereinrichtung durchgefuhrt wird, konnen solche 
Kosten nicht dem Kunden aufgeburdet werden, sondern 
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vielmehr ist ein Rabatt zu gewahren, da der Computer 
der Datenzentrale durch solche Berechnungen nicht un- 
notig blockiert wird. 

[0038] Bei der zweiten Ausf uhrungsvariante ist vorge- 
sehen, daB die empfangenen teilweise zuruckubermit- 
telten Daten einen in der Datenzentrale berechneten 
Portowert, eine Empfanderadresse, Identifikationsda- 
ten, Datenzentrale eine monoton stetig veranderbare 
GroBe und eine Signatur einschlieBen, wobei die Da- 
tenzentrale die monoton stetig veranderbare GroBe ge- 
neriert und aus den ubermittelten Anforderungsdaten, 
wie Postemptangeradresse und Identifikationsdaten 
sowie aus weiteren ubermittelten Versendungsdaten 
den Portowert nach einem gultigen Tarif ermittelt. Bei 
einer Maximalvariante werden die Anlorderungsdaten 
gleich fur rnehrere Briefe erzeugt, die der Benutzer an 
seinem Personalcomputer PC 1 erstellt hat, welcher zu- 
gleich Bestandteil der Frankiereinrichtung ist. Entspre- 
chend der Anzahl der Briete wird dann auch eine Anzahl 
von verschiedenen Signaturen zugeordnet zu den 
AdreB- und Frankierdaten erzeugt. Die zuruckubermil- 
telten Daten lassen sich uber die AdreBdaten den un- 
schiedlichen Briefen zuordnen. 

[0039] Als alternative Versendungs information zum 
Gewicht kann die Anzahl und das Format und das Ge- 
wicht der einzelnen Briefseiten je Brief ubermittelt wer- 
den. Das Brief gewicht laBt sich daraus in der Datenzen- 
trale ermitteln, ohne daB beim lokalen Benutzer eine 
Briefwaage an die Frankiereinrichtung angeschlossen 
werden muB. Gegebenenfalls eroffnet die Datenzentra- 
le wahrend der Kommunikation einen Userdialog via 
dem Display 1 2 mit dem Benutzer, urn die Daten zu ver- 
vollstandigen, welche zur Portoberechnung erforderlich 
sind. 

[0040] Bei einer Minimalvariante, wird lediglich eine 
Signatur fur folgende Informationen Postemptanger- 
adresse, Postwert, Identifikationsdaten, Stuckzahlwert 
angefordert. Der Stuckzahlwert ist ein durch einen Nu- 
merates erzeugter unverschiusselter Stuckzahlauf- 
druck. Durch einen Numerateur wird bereits ein hinrei- 
chender Schutz gegenuber Kopien des Abdruckes er- 
reicht. Bei Abholungder gesammelten Post durch einen 
Angestellten des Postbefordereres konnten bereits die 
Absender-ldentifikationsdaten und der vom Numera- 
teur erreichte Zahlstand mit den aufgedruckte Werten 
verglichen werden. 

[0041] Die Wahrscheinlichkeit ist auch dafur gering, 
daB zum selben Absendedatum ein gleich groBes und 
gleich schweres Poststuck an den selben Postempfan- 
ger geschickt wird. Die Wahrscheinlichkeit kann weiter 
verringert werden, indem gefordert wird, daB die Uhr- 
zeitdaten zusatzlich auf das Poststuck mit aufgedruckt 
werden. Die Zeitdaten konnen alternativ durch eine ge- 
naue Uhr - nicht gezeigt - von der Datenzentrale bereit- 
gestellt werden. 

[0042] Es ist in einer weiteren Variante vorgesehen, 
daB alle auf das Poststuck aufzudruckenden Daten zu- 
vor zentral gespeichert werden. In dem Postamt kann 
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die eingelieferte Post unter Mitwirkung der zentral ge- 
speicherten Daten daraufhin uberpruft werden : ob Ko- 
pien eines Abdruckes in Falschungsabsicht benutzt 
werden. Zu jedem eingelieferten Poststuck kann ein 

5 Eintrag in der zentralen Datenbank in einem besonde- 
ren Bereich vorgenommen werden. Ein doppelter Ein- 
trag in der Datenbank deutet dann auf einen gefalschten 
Abdruck hin. Durch die Verknupfung der Postemptan- 
geradresse mit dem Postwert und Stuckzahl uber die 

io Signatur, ist es getrennt voneinander unmoglich, eines 
der beiden Postemptangeradresse bzw. Postwert fur 
Manipulationzwecke zu kopieren. 
[0043] Es ist weiterhin vorgesehen, daB ein jedes 
Schlusselpaar, bestehend aus einem privaten Schlus- 

^5 sel und einem offentlichen Schlussel, zeitlich limitiert 
gultig ist und plotzlich zu einem bestimmten Datum und 
Uhrzeit von der Datenzentrale gewechselt werden 
kann. Die zeitlichen Abstande des Wechselns ergeben 
sich entsprechend dem aktuell erreichten Fortschritten 

20 bei modernen Analyseverfahren, beispielsweise der dif- 
ferenziellen Kryptoanalyse, und sind so bemessen, daB 
ein Angriff auf die Sicherheit des Systems mit hoher 
Wahrscheinlichkeit scheitern muB. 
[0044] Die Erfindung ist nicht auf die vorliegenden 

25 Ausfuhrungsform beschrankt, da offensichtlich weitere 
andere Anordnungen bzw. Ausfuhrungen der Erfindung 
entwickelt bzw. eingesetzt werden konnen, die vom glei- 
chen Grundgedanken der Erfindung ausgehend, die 
von den anliegenden Anspruchen umfaBt werden. 

30 

Patentanspruche 

1. Frankiereinrichtung, mit einem ersten Computer 
35 und mit einem angeschlossenen Drucker, wobei der 
Computer einen Speicher mit einer lokalen Daten- 
bank fur PostempfangeradreBdateien und ein Kom- 
munikationsmittel enthalt, wobei der erste Compu- 
ter uber das Kommunikationsmittel mit einer Daten- 
40 zentrale verbunden ist, welche einen zweiten Com- 
puter mit einer zentralen Datenbank aufweist, 
gekennzeichnet dadurch, daB der erste Compu- 
ter programmiert ist, 

45 - auf eine gespeicherte bestimmte Postemptan- 
geradresse zuzugreifen Oder eine neu einge- 
gebene bestimmte Postemptangeradresse 
zwischenzuspeichern, 

Anforderungsdaten des Postabsenders per 
50 Kommunikationsmittel zur Datenzentrale zu 

ubermitteln, wobei die Anforderungsdaten die 
Identifikationsdaten des Postabsenders und 
Postversendungsdaten, einschiieBlich die be- 
stimmte Postemptangeradresse, umfassen, 
55 urn die Richtigkeit der Postemptangeradresse 

mittels des zweiten Computers zu bestatigen 
Oder anhand einer in der zentralen Datenbank 
gespeicherten AdreBdatei herzustellen, 
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Daten zu empfangen, betreffend eine gultige 
Postempfangeradresse von einer in der zentra- 
len Datenbank gespeicherten AdreBdatei, ei- 
nen gultigen Portowert und eine Signatur, wq- 
beTde r zwerte Com pTJ te r d e r Daten z e nt rale die s 
angeforderten Daten nur mit einer Signatur 
ausstattet, wenn eine gultige Postempfanger- 
adresse in der zentralen Datenbank gespei- 
chert ist, wobei eine Mitteilung erzeugt wird, 
wenn eine automatische Korrektur einer Post- 10 
empfangeradresse unmoglich ist, 
die von der zentralen Datenbank empfangenen 
Daten einschlieBlich der Signatur zu verarbei- 
ten, um einen authentischen Frankierabdruck 
auf das Poststuck abzudrucken. is 

2. Frankiereinrichtung, nach Anspruch 1, gekenn- 
zeichnet dadurch, daf3 der erste Computer weiter- 
hin programmiert ist, die Authentizitat der zur Fran- 
kiereinrichtung ubermittelten empfangenen Daten 20 
anhand der Signatur zu uberprufen und bei Authen- 
tizitat die AdreBdatei in der lokalen Datenbank be- 
zuglich der bestimmte Postempfangeradresse zu 
aktualisieren. 

25 

3. Frankiereinrichtung, nach Anspruch 1, gekenn- 
zeichnet dadurch, daB der erste Computer weiter- 
hin programmiert ist, die Anforderungsdaten zu bil- 
den, wobei die Postversendungsdaten den ge- 
wunschten Frankierwert einschlieDen. 30 

4. Veriahren zur Erzeugung gultiger Daten fur Fran- 
kierabdrucke, wobei von einer Frankiereinrichtung 
Anforderungsdaten gebildet und zu einer Daten- 
zentrale ubermittelt und angeforderte Daten zu- 35 
ruckubermittelt und gespeichert werden, gekenn- 
zeichnet durch die Schritte: 

Bildung und Ubermittlung von Anforderungsda- 
ten, mit welchen ein erster Computer der Fran- 40 
kiereinrichtung von einem zweiten Computer 
einer Datenzentrale eine Signatur anfordert, 
wobei die Anforderungsdaten mindestens eine 
Informationsgruppe mit Postempfangeradres- 
sendaten und Identifikationsdaten einschlie- 4S 
Ben, 

Verifikation von ubermittelten Daten in einer 
Datenzentrale, 

Erzeugung einer Signatur auf der Basis verifi- 
zierter Daten unter Verwendung eines asym- so 
metrischen Kryptoalgorithmus und geheimen 
privaten Schlussels, sowie 
Ruckubermittlung der verifizierten Daten und 
der Signatur zur Frankiereinrichtung, wobei die 
Authentizitat der zuruckubermittelten Daten ss 
anhand der Signatur unter Verwendung eines 
offentlichen Schlussels Oberprufbar ist, sowie 
Speicherung authentischer empfangener Da- 
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ten in einer tokalen Datenbank. 

5. Verfahren, nach Anspruch 4, gekennzeichnet da- 
durch, 

daB vom zweiten Computer in der Datenzen- 
trale die Gultigkeit von Daten uberpruft und er- 
forderlichenfalls hergestellt wird, daB die Si- 
gnatur vom zweiten Computer in der Datenzen- 
trale aus den angeforderten Daten generiert 
wird, wobei die teilweise zuruckzuubermitteln- 
den Daten vom zweiten Computer in der Da- 
tenzentrale mittels der Signatur miteinander 
verknupft werden, 

daB der erste Computer entsprechend der An- 
forderung uber Modem gultige Daten emp- 
fangt, 

daB vom ersten Computer anhand von Daten 
der zur Datenzentrale ubermittelten Informati- 
onsgruppe und Daten einer empfangenen In- 
formationsgruppe ein Vergleich vorgenommen 
wird, wobei mittels der Signatur eine Authenti- 
zitatsprufung hinsichtlich der empfangenen In- 
formationsgruppe durchgefuhrt wird, wobei bei 
der Authentizitatsprufung ein offentlicher 
Schlussel verwendet wird, welcher in der zen- 
tralen oder einer lokalen Datenbank abrufbar 
gespeichert ist, 

daB im Falle einer festgestellten Abweichung 
zwischen den ubermittelten und empfangenen 
Daten im Ergebnis des Vergleiches der Daten- 
bestand in der lokalen Datenbank nur dann ak- 
tualisiert wird, wenn die empfangenen Daten 
als authentisch gelten, sowie 
daB vom ersten Computer aus den empfange- 
nen Daten ein Druckbild generiert und ein Aus- 
drucken entsprechend veranlaBt wird. 

6. Verfahren, nach Anspruch 5, gekennzeichnet da- 
durch, daB die zur Datenzentrale ubermittelten An- 
forderungsdaten zusatzlich den Postwert, weitere 
Postversendungsdaten und eine monoton stetig 
veranderbare GroBe einschlieBen. 

7. Verfahren, nach Anspruch 5, gekennzeichnet da- 
durch, daB die empfangenen teilweise zuruckuber- 
mittelten Daten einen in der Datenzentrale berech- 
neten Portowert, eine Empfanderadresse, Identifi- 
kationsdaten, Datenzentrale eine monoton stetig 
veranderbare GroBe und eine Signatur einschlie- 
Ben, wobei die Datenzentrale die monoton stetig 
veranderbare GroBe generiert und aus den uber- 
mittelten Anforderungsdaten, wie Postempfanger- 
adresse und Identifikationsdaten sowie aus weite- 
ren ubermittelten Daten den Portowert nach einem 
guttigen Tarif ermittelt, sowie aus den ubermittelten 
Anforderungsdaten, wie Postempfangeradresse 
und Identifikationsdaten, sowie der erzeugten mo- 
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noton stetig veranderbare GroBe und dem Porto- 
wert mit Hilfe eines privaten Schlussels und eines 
asymmetrischen Verschlusselungsalgorithmus ei- 
ne Signatur erzeugt. 

5 

8. Verfahren, nach den Anspruchen 6 oder 7, gekenn- 
zeichnet dadurch, daB die monoton stetig veran- 
derbare GroBe eine zeitbezogene GroBe ist. 

9. Vertahren, nach den Anspruchen 6 oder 7, gekenn- io 
zeichnet dadurch, da3 die monoton stetig veran- 
derbare GroBe eine Stuckzahl an abgerechneten 
Poststucken ist. 

10. Vertahren, nach den Anspruchen 4 und 5 oder 7, 15 
gekennzeichnet dadurch, daB ein jedes Schlus- 
selpaar aus privaten Schlussel und einem offentli- 
chen Schlussel zeitlich limitiert guttig ist und plotz- 

lich zu einem bestimmten Datum und Uhrzeit von 
der Datenzentrale gewechselt werden kann. 20 
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(54) Frankiereinrichtung und ein Verfahren zur Erzeugung gultiger Daten fur Frankierabdrucke 



(57) Eine Frankiereinrichtung (10) fur ein kletnes 
Postaufkonnmen besteht aus einem Computer (11) und 
mit einem angeschlossenen Drucker (17), wobei der 
Computer einen Speicher (13) mit einer lokalen Daten- 
bankfur PostempfangeradreBdateien uber ein Kommu- 
nikationsmittel (15) mit einer Datenzentrale (20) verbun- 
den ist, welche eine zentrale Datenbank (23) aufweist. 
Der Computer (11) ist entsprechend programmiert, daB 
Anforderungsdaten gebildet und zur Datenzentrale 
ubermittelt und angeforderte zuruckubermittelte Daten 
empfangen und gespeichert werden. Das Verfahren zur 
Erzeugung gultiger Daten fur Frankierabdrucke umfa&t 
dabei folgende Schritte: 

Bildung und Ubermittlung von Anforderungsdaten 



fur eine Signatur, 

Verifikation von ubermittelten Daten in einer Daten- 
zentrale (20), 

Erzeugung einer Signatur auf der Basis verifizierter 
Daten unter Verwendung eines asymmetrischen 
Kryptoalgorithmus und geheimen privaten Schlus- 
sels, sowie 

Ruckubermittlung der verifizierten Daten und der 
Signatur zur Frankiereinrichtung (10), wobei die Au- 
thentizitat der zuruckubermittelten Daten anhand 
der Signatur unter Verwendung eines offentlichen 
Schlussels uberprufbar ist, sowie 
Speicherung authentischer empfangener Daten in 
der lokalen Datenbank (13). 
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